現(xiàn)在IT行業(yè)中重要的議題之一就是無(wú)線安全，或者更準(zhǔn)確的說(shuō)是擔(dān)心無(wú)線不安全。這種不安全的恐懼已經(jīng)成為世界無(wú)線市場(chǎng)發(fā)展的主要障礙，并且困擾著很多高級(jí)IT人士。從第一次世界大戰(zhàn)開始的無(wú)線信號(hào)攔截和干擾技術(shù)已經(jīng)被現(xiàn)在的網(wǎng)絡(luò)嗅探和拒絕服務(wù)（DoS）攻擊所代替。第一代的無(wú)線LAN是在1969年投入運(yùn)行的，這比以太網(wǎng)誕生要早4年�，F(xiàn)代無(wú)線網(wǎng)絡(luò)附帶著所固有的安全問(wèn)題，無(wú)線網(wǎng)使用量的增加和擴(kuò)大給系統(tǒng)管理員和網(wǎng)絡(luò)安全專家們?cè)鎏砹烁�高層次的�?dān)心，為了能提供保護(hù)，防止通過(guò)無(wú)線對(duì)網(wǎng)絡(luò)的攻擊，射頻理論成為了最基本的技術(shù)。 

    無(wú)線頻率安全基礎(chǔ)設(shè)計(jì)分析

    在IT安全中為了提供網(wǎng)絡(luò)保護(hù)技術(shù)，首先需要了解清楚要保護(hù)什么。遺憾的是，在無(wú)線網(wǎng)絡(luò)中這不能成為定律，因?yàn)榻^大多數(shù)網(wǎng)絡(luò)/IT安全專家缺乏無(wú)線技術(shù)的基本支持，這是由于這些知識(shí)通常不包括在計(jì)算機(jī)科學(xué)學(xué)位課程或常規(guī)IT證書的教材中。同時(shí)，轉(zhuǎn)行進(jìn)入IT領(lǐng)域的無(wú)線頻率(RF)專家可能又不熟悉網(wǎng)絡(luò)協(xié)議，特別是負(fù)責(zé)與安全相關(guān)協(xié)議的技術(shù)人員，如IPsec等。

    安全的無(wú)線網(wǎng)絡(luò)需要有正確的設(shè)計(jì)。在網(wǎng)絡(luò)規(guī)劃和設(shè)計(jì)的最初階段就必須考慮到安全問(wèn)題。這個(gè)問(wèn)題對(duì)無(wú)線網(wǎng)絡(luò)設(shè)計(jì)同樣重要，甚至超過(guò)了有線網(wǎng)。低劣的無(wú)線網(wǎng)絡(luò)設(shè)計(jì)問(wèn)題將會(huì)很多，很容易被突破。它可能造成對(duì)DoS攻擊抵抗力的降低，如果使用VPN部署使得網(wǎng)絡(luò)通信量開銷爭(zhēng)價(jià)，很容易使速度減慢，直到停頓。應(yīng)該記住盡管無(wú)線網(wǎng)絡(luò)中的最新發(fā)展（如802.11a/g的標(biāo)準(zhǔn)），無(wú)線LAN和PAN與其同檔的有線網(wǎng)相比仍然是通過(guò)量低且延時(shí)高。

    無(wú)線LAN覆蓋區(qū)域應(yīng)該能夠提供給用戶在其需要的地點(diǎn)訪問(wèn)，但不是任何地點(diǎn)。LAN必須安裝和設(shè)計(jì)成這樣的方式，可以覆蓋整個(gè)使用范圍，并盡可能的減少戶外信號(hào)泄漏。這樣將保證潛在的攻擊者很少有機(jī)會(huì)發(fā)現(xiàn)這個(gè)網(wǎng)絡(luò)，減少可能收集和竊取到的通信量，更低的帶寬濫用。

    天線選擇和調(diào)整功率輸出的重要性

    天線是無(wú)線網(wǎng)絡(luò)設(shè)計(jì)者、管理員和咨詢顧問(wèn)們的好朋友。在熟練的攻擊者手中，這些天線又成為最糟糕的敵人，如果攻擊者試圖聯(lián)絡(luò)目標(biāo)網(wǎng)絡(luò)，可以增加攻擊范圍，捕捉數(shù)據(jù)的數(shù)量和連接速度。當(dāng)選擇好必要的天線以后，規(guī)劃網(wǎng)絡(luò)覆蓋時(shí)，要記住輻射時(shí)以兩個(gè)平面發(fā)射的：水平和垂直。可以以三維形式來(lái)想象覆蓋區(qū)，例如全向波束利用天線構(gòu)成了圓圈型的覆蓋區(qū)域，從圓圈點(diǎn)的中心垂直輻射。扇形、鱗片型和板式天線構(gòu)成了泡沫狀，一般以60度到120度方向傳播。八木樣式構(gòu)成了更窄的帶副瓣和背瓣的擴(kuò)展型泡沫，水平和垂直平板的半方向性天線和高方向天線經(jīng)常有十分類似的式樣，但是得到的波束寬度卻不同。

    發(fā)射功率輸出通常指無(wú)線系統(tǒng)的兩個(gè)點(diǎn)上的功率。第一個(gè)點(diǎn)是有目的輻射器(IR)，包括發(fā)射機(jī)及所有電纜和連接器，但是不包括天線。第二點(diǎn)是天線輻射出的實(shí)際功率或全向等效輻射功率（EIRP）。其中我們可用兩種方法得到增益。使用天線來(lái)聚集電波以增加信號(hào)振幅，射束寬度越窄表明增益越高。與常規(guī)概念相反，全向天線可以通過(guò)減少垂直射束寬度得到巨大的增益（擠壓?jiǎn)拘迅采w成為餅型覆蓋）。另一種方法是，外部直流電源饋入射頻電纜中（所謂的“幻路電壓”）可以通過(guò)一個(gè)放大器增加增益注入。雖然天線的方向和位置影響信號(hào)擴(kuò)展的位置，但是增益影響著通過(guò)無(wú)線設(shè)備增加發(fā)射功率能夠擴(kuò)展多遠(yuǎn)。

    加強(qiáng)密鑰管理使用等效保密提高安全

    針對(duì)802.11a、802.11b和當(dāng)前發(fā)布的802.11g設(shè)備的數(shù)據(jù)加密和客戶機(jī)認(rèn)證，可以使用有線等效保密標(biāo)準(zhǔn)（WEP）進(jìn)行處理。WEP可以加密有效荷載和使用同步流密碼RC4的每個(gè)CRC。最初的WEP共享密鑰的長(zhǎng)度為64位，符合美國(guó)出口法規(guī)，但是現(xiàn)在大多數(shù)無(wú)線主機(jī)都已經(jīng)使用128位密鑰。如果共享密鑰認(rèn)證方法啟用，WEP可以用來(lái)認(rèn)證無(wú)線主機(jī)。在接入點(diǎn)發(fā)送問(wèn)答的暫時(shí)號(hào)給認(rèn)證客戶機(jī)時(shí)，共享密鑰認(rèn)證將會(huì)發(fā)生�？蛻魴C(jī)使用加密的暫時(shí)號(hào)應(yīng)答，并發(fā)送回接入點(diǎn)。接入點(diǎn)使用WEP密鑰對(duì)暫時(shí)號(hào)解密并與最初值進(jìn)行比較，以便使主機(jī)在認(rèn)證時(shí)作出決定。

    所有堆成的密碼實(shí)現(xiàn)都會(huì)遇到密鑰分配的問(wèn)題，WEP也不例外。在WEP的原始設(shè)計(jì)中，WEP設(shè)想可以保護(hù)有有線規(guī)模的LAN。現(xiàn)在的企業(yè)無(wú)線網(wǎng)絡(luò)可能涉及到千計(jì)的主機(jī)，使用手工方式分配和修改WEP密鑰是一個(gè)嚴(yán)重的問(wèn)題。WEP可以提供基于設(shè)備的，非基于用戶的認(rèn)證。丟失或被竊取使用802.11標(biāo)準(zhǔn)的筆記本電腦或PDA 將會(huì)給任何得到該設(shè)備的人有機(jī)會(huì)開放網(wǎng)絡(luò)訪問(wèn)。LAN上的所有用戶將享有同樣的WEP密鑰。嗅探無(wú)線LAN和嗅探共享以太網(wǎng)一樣容易，此外，技術(shù)稍高的攻擊者可以使用常用工具，如Hunt、Dsniff和Ettercap等，截獲連接和偽造ARP請(qǐng)求。這些攻擊可能是針對(duì)連接上的有線網(wǎng)絡(luò)主機(jī)以及無(wú)線主機(jī)

    WEP密鑰包括實(shí)際共享密鑰和一個(gè)24位初始化矢量(IV)，可以在沒(méi)有加密的網(wǎng)絡(luò)上傳輸。相同的IV都將可以用于不同的數(shù)據(jù)包，并且密鑰流將變成相似的。在使用相同的IV收集足夠的信息之后，攻擊者將可以確定共享秘密。這里需要注意在無(wú)線LAN通信量中查找所有重復(fù)的IV，而不是具體的IV值才有意義。

    安全無(wú)線網(wǎng)絡(luò)硬化建議

    當(dāng)然無(wú)線網(wǎng)絡(luò)安全還是應(yīng)該使用更高層的保護(hù)，如各種IPSec模型或基于SSL的安全協(xié)議等。因?yàn)閃EP上的脆弱性已經(jīng)家喻戶曉并且經(jīng)常背竊密者所利用，所以無(wú)線安全部門把主要希望寄托在了802.11i標(biāo)準(zhǔn)開發(fā)上面。遺憾的是802.11i標(biāo)準(zhǔn)得到最后的批準(zhǔn)之前，對(duì)TKIP和802.1x兩者作為臨時(shí)無(wú)線安全解決方案的支持還只有廠家的主動(dòng)，可能包括了一些專門性能，增加了不兼容問(wèn)題。因此如果計(jì)劃依靠TKIP和802.1x加強(qiáng)無(wú)線LAN安全，推薦使用單一廠家的設(shè)備。

    802.1x協(xié)議可以用來(lái)分配“傳統(tǒng)的”WEP密鑰。這種減少WEP竊密威脅的問(wèn)題需要預(yù)測(cè)單位時(shí)間內(nèi)通過(guò)無(wú)線網(wǎng)絡(luò)的通信量的數(shù)量，以便確定密鑰需要多少時(shí)間再重新分配一次。這種預(yù)測(cè)很難實(shí)施，并且有很多時(shí)間在不同的通信量負(fù)荷下有可能被使用前面介紹過(guò)的各種工具竊取WEP。另一方面，沒(méi)有保證對(duì)于通信量的突然增加不會(huì)給潛在的竊密者提供收集足夠數(shù)據(jù)包的機(jī)會(huì)，在密鑰改變之前得到這個(gè)密鑰。這樣WEP密鑰的動(dòng)態(tài)分配可能極大的完善無(wú)線網(wǎng)絡(luò)的安全。

    封閉系統(tǒng)ESSID、MAC過(guò)濾和協(xié)議過(guò)濾

    長(zhǎng)劍的非標(biāo)準(zhǔn)的無(wú)線LAN保護(hù)工具包括封閉系統(tǒng)ESSID、MAC過(guò)濾和協(xié)議過(guò)濾。封閉系統(tǒng)ESSID是很多更高端無(wú)線接入點(diǎn)和網(wǎng)橋的技術(shù)性能，需要客戶主機(jī)為了進(jìn)行聯(lián)系而得到正確的ESSID。這樣就把ESSID轉(zhuǎn)變?yōu)楣蚕碚J(rèn)證口令的一種形式。然而，封閉系統(tǒng)ESSID可以在管理幀中發(fā)現(xiàn)，而不是在新標(biāo)和檢測(cè)響應(yīng)中。正如在共享密鑰認(rèn)證模型情況下，無(wú)線主機(jī)可以能被強(qiáng)迫取消聯(lián)系，以便在管理幀的有關(guān)重新聯(lián)系過(guò)程中捕捉到ESSID。使用AirJack套件中的ESSID_JACK攻擊者可以很容易的繞過(guò)封閉系統(tǒng)的ESSID安全。通過(guò)分析監(jiān)視網(wǎng)絡(luò)上所有ESSID值進(jìn)行檢測(cè)，Kismet具備了無(wú)縫封閉系統(tǒng)ESSID檢測(cè)的能力。

    MAC過(guò)濾與封閉系統(tǒng)ESSID不同的是，前者是一種常見(jiàn)的技術(shù)，目前各種現(xiàn)代接入點(diǎn)都可以支持。用戶端的MAC地址為過(guò)濾依據(jù)，便能從硬件上對(duì)用戶端進(jìn)行控制。MAC過(guò)濾可以有效阻止網(wǎng)絡(luò)中的惡意攻擊者。

    協(xié)議過(guò)濾只有在一些具體的情況下和經(jīng)過(guò)充分選擇之后才會(huì)使用，例如，無(wú)線主機(jī)需要使用的只要是因特網(wǎng)和郵件通信量，其他所有協(xié)議可以進(jìn)行過(guò)濾，并且HTTPS和S/MIME可以用來(lái)提供成分水平的數(shù)據(jù)保密。同樣，也可以使用SSH端口轉(zhuǎn)發(fā)。協(xié)議過(guò)濾合并了第 6層安全協(xié)議，能夠針對(duì)局限于特殊任務(wù)（如條碼掃描、公司網(wǎng)站瀏覽更新等），為使用筆記本用戶構(gòu)建無(wú)線LAN提供了很好的安全解決方案。

    無(wú)線網(wǎng)絡(luò)定位和安全網(wǎng)關(guān)

    有關(guān)網(wǎng)絡(luò)硬化的重點(diǎn)涉及到在整個(gè)網(wǎng)絡(luò)涉及拓?fù)浼夹g(shù)中的無(wú)線網(wǎng)絡(luò)位置。因?yàn)楦鶕?jù)無(wú)線網(wǎng)絡(luò)的特征，它決不會(huì)直接連接到有線LAN上。相反，這種網(wǎng)絡(luò)必須作為不安全公共網(wǎng)絡(luò)連接來(lái)處理，或者作為最為松懈的安全方法處理，如DMZ等，直接在LAN交換機(jī)上（不是集線器）插入接入點(diǎn)會(huì)造成損害（即使已經(jīng)實(shí)現(xiàn)的802.1x認(rèn)證也可能出現(xiàn)問(wèn)題）。具有全狀態(tài)的或代理防火墻能力的安全無(wú)線網(wǎng)關(guān)必須從有線LAN中分離無(wú)線網(wǎng)絡(luò)。如果無(wú)線網(wǎng)在整個(gè)區(qū)域中包括了多個(gè)接入點(diǎn)和漫游用戶訪問(wèn)，“有線側(cè)”的接入點(diǎn)必須安裝了相同的VLAN，安全的與其他有線網(wǎng)絡(luò)部分分離。更高端的無(wú)線網(wǎng)卡可以合并接入點(diǎn)、防火墻、認(rèn)證、VPN集中器和用戶漫游支持能力。

    保護(hù)無(wú)線網(wǎng)絡(luò)甚至其他接入點(diǎn)安全的網(wǎng)關(guān)安全絕對(duì)不能忽視。無(wú)線網(wǎng)卡、接入點(diǎn)和網(wǎng)橋出現(xiàn)的絕大多數(shù)安全問(wèn)題出資不安全的設(shè)備管理實(shí)現(xiàn)，包括使用telnet、TFTP、默認(rèn)SNMP社區(qū)以及默認(rèn)口令和允許從網(wǎng)絡(luò)的無(wú)線側(cè)網(wǎng)關(guān)/接入點(diǎn)進(jìn)行遠(yuǎn)程管理等。確保設(shè)備安全完全處于監(jiān)管之下并且使用無(wú)線專用的IDS功能能夠配合在數(shù)據(jù)鏈路程上更傳統(tǒng)的入侵檢測(cè)系統(tǒng)工作。

    總之，無(wú)線安全是多層化耗費(fèi)時(shí)間和資源的一個(gè)過(guò)程，盡管如此，這也是非�；�本的內(nèi)容，因?yàn)闊o(wú)線網(wǎng)絡(luò)對(duì)攻擊者來(lái)說(shuō)具有很高的價(jià)值目標(biāo)，可以找到匿名的免費(fèi)因特網(wǎng)訪問(wèn)和后臺(tái)信道登錄到其他安全分離的網(wǎng)絡(luò)。無(wú)線安全包含了專門針對(duì)無(wú)線技術(shù)的安全政策、射頻安全、第二層專用無(wú)線協(xié)議安全問(wèn)題和解決方案、更高層的VPN和設(shè)備管理安全等。所以在構(gòu)建無(wú)線網(wǎng)絡(luò)的時(shí)候一定要把握好安全的、正確的無(wú)線網(wǎng)絡(luò)總體規(guī)劃和設(shè)計(jì)。

• · 印度擬開發(fā)10美元筆記本
• · 駁CDMA定位高端必死論
• · 山寨手機(jī)個(gè)性便宜為何還要打擊？
• · 次貸危機(jī)之于電信業(yè)利弊分析
• · 3G時(shí)代的移動(dòng)通信市場(chǎng)三條攻伐路線圖
• · TD手機(jī)發(fā)展態(tài)勢(shì)分析

• · 2008年二季度全球PC銷量增長(zhǎng)15%
• · TD數(shù)字電視手機(jī)集采開標(biāo)
• · IT企業(yè)欲訴微軟在華壟斷
• · 微軟戴爾加入TD陣營(yíng)
• · 上海網(wǎng)絡(luò)游戲產(chǎn)業(yè)年銷售收入超過(guò)60億元
• · 網(wǎng)通推小靈通租機(jī)服

• ·2008年1-5月廣東電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2008年1-5月山東電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2008年1-5月湖北電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2008年1-5月四川電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2008年1-5月江蘇電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)
• ·2008年1-5月吉林電子計(jì)算機(jī)網(wǎng)絡(luò)設(shè)備制造主要經(jīng)濟(jì)指標(biāo)